Q先生

官方文档要求的是mysql,而我用的是mariadb-3:10.3.39,抱着死吗当活马医的心态更好数据库。安装完zabbix和mariadb后发现,zabbix-server一直在报错.反正就是反复的查权限,selinux,firewalld。好了,由于自己的随性浪费了5个小时.所以生产中操作还是需要根据官方文档来.配置文件中DBPassword=后面的密码必须加’'否则就报错。也算zabbix 7.0部署遇到的一个不大不小的坑吧。此时登录正常,那么显然授权和密码都是对的.这里就简单的说下当时的思路.

客户机通过防火墙规则拒绝其他服务器的连接请求.部署一个堡垒机会显得稍微臃肿一点.正好看到了阿里云的Linux堡垒机界面,那么就用shell搞个差不多的功能,在一台管理机上实现.我们可以按播放键或者拖动进度条查看具体做了哪些事情,甚至于执行的命令在红框内也做了展示。由于堡垒机需要到一点审计的功能,我们使用Cockpit来实现。内网中有个非常小的独立环境需要有堡垒机实现登录工作.键选择服务器,到了35以后会更新出后续的清单。好了.堡垒机的大部分功能我们都实现了。,它又能显示出之前的服务器清单。

curl- 强大的HTTP请求工具curl -I http://example.com # 只获取头部信息wget- 下载工具，可用于测试重定向telnet- 测试网络连接tcpdump- 网络抓包工具netstat- 查看网络连接ss- 更现代的替代netstat的工具ss -tulnpstrace- 跟踪系统调用HTTP状态码是诊断Web应用问题的重要工具。理解各类状态码的含义和产生原因，掌握基本的排查方法，可以快速定位和解决问题。首先检查服务器日志使用curl或wget重现问题。

编辑service文件/etc/systemd/system/sftp.service。编辑配置文件/etc/ssh/sftp.conf。至此SFTP与SSH分离已经实现。确认sftp服务正常。

当出现 password updated successfully。根据密码策略的不同需要注意不同强度的密码及密码重复次数.删除consoleblandk=0后面所有参数,加上。再次出现登录界面后就能用新密码登录了.重启vcenter看到引导界面后e。重启后,等待10分钟左右。按ctrl+x引导系统。输入以下命令,重置密码。输入以下命令实现重启。

进入红帽开发者官网https://developers.redhat.com/,点击登录。注册完成后等一下邮件,会收到一个来自no-reply@redhat.com的邮件。这里的账户就是本文第三个图第一个框的内容,密码就是该图第二个框的内容。这个只是我们的测试机器没必要占用订阅名额,那么就先退出订阅。按要求填写内容,别漏,如果红色就是不符合规则。发现我们已经可以通过订阅来进行补丁修复了。好了至此订阅申请已经完成,并测试订阅可用。打开后点击它的链接激活账号。先准备一个可以使用的邮箱。随便选一个,点击提交。

接触红帽考试已经10多个年头了.目前是Level 6,先后考了10门RHCA课程另外有4门是仅学习但还没有参加考试.下面我和大家分享一下,我理解的红帽考试和学习方法.红帽考试主要分为3个等级RHCSA,RHCE,RHCA以下是我参加过的考试课程号学习难度实用程度考题数量考试难度3584521537425170447(已无法考)251702103318326033153280331033162213243623。

可插拔式身份验证模块（PAM）系统为应用提供一种通用的方式，​来实施对身份验证和授权的支持。​在最初，​需要对用户进行身份验证的应用使用本地的 /etc/passwd 和 /etc/shadow 文件。​后来，​诞生了其他身份验证机制。​例如，​您所在的公司可能决定实施 Kerberos，​在这种情况下，​各个应用必须针对 Kerberos 密钥分发中心（KDC）验证密码的正确性。​或者，​您可以选择部署轻量级目录访问协议（LDAP）基础结构，​这时各应用必须联系 LDAP 服务器来进行身份验证。​。

我们可以通过红帽官网的(https://access.redhat.com/errata-search/) 查询到该cve对应的的RHSA,一般有了RHSA就说明已经被红帽修复了。一般安全部门定期通知运维部门修复已知的安全漏洞,通常会给我们一个CVE号: 例如 CVE-2025-0624。通过红帽的backporting技术,修复了2.02中的漏洞,但不需要提升原grub2-common的版本。可以看到,已经由右侧旧版本123升级到了新版本164.虽然grub2-common任然是2.02.

环境下默认上传文件大小为5M,开发要求将上传文件限制改成500MB。服务是在阿里云的ACK环境下,用Ingress做路由入口。修改Ingress,在metadata:下加入以下行。

早上同事说改了/etc/profile 后执行source出现一堆报错:由于服务器是日语的如果切换成英语就是。

iscsi服务需要一个磁盘,我们就利用vdb上的空余磁盘建一个vdb2来作为iscsi数据存放的位置。我们发现只要任何一个网络通的节点,只要客户端配置正确就能挂载这个iscsi磁盘.可以看到iscsi的磁盘及内容未出现变化.而且这样多了一层用户名密码也更为安全.修改配置文件/etc/iscsi/initiatorname.iscsi。此时可以看到iscsi磁盘已经完成挂载,本地出现新磁盘sda。这显然是不够安全的.那么我们再上点验证.先卸载挂载并退出iscsi登录。创建backstores。

将光盘作为基本镜像,这个实验就用/yum为仓库路径,如果公司内部可以是/yum/el7,/yum/el8这样来分,当然也可以根据具体版本分得更细。最近经常有朋友问Openssh 漏洞修复的问题,我也在自己的gitee仓库里更新了9.5,9.8,9.9p2多个版本的rpm包.编辑/etc/httpd/conf/httpd.conf修改以下内容,将原来的/var/www/html修改成/yum。更新,解压对应版本的包,并复制到仓库中,这里拿9.8为例,9.9一样操作就可以了。此时不要急着退出当前的窗口.

做了rhel7系列和8系列的rpm包,东西我放在了gitee仓库,需要的朋友自取。最近经常有openssh的漏洞需要修复,也经常后台问我.安装openssl 1.1.1以上版本就可以解决.如果有其他错误,可以在博客或Gitee中留言。

RPM 软件包管理的⼀个主要优势是存储在系统的 RPM 数据库中的有⽤数据。每次安装 RPM 软件包（包括 EPEL 和第三⽅ RPM 软件包）时，RPM 数据库中都会记录软件包和事务信息。使⽤ RPM 数据库内容验证 RPM 软件包中的现有⽂件。验证已安装的软件包会将当前的⽂件属性与 RPM 数据库中存储的信息进⾏⽐较。rpm -V 命令验证指定的软件包，⽽ rpm -Va 则验证系统上安装的每个软件包。rpm 命令不会⽣成任何输出，除⾮它发现当前⽂件和 RPM 数据库之间存在差异。

这里我的磁盘是nvme0n1,根据不同硬盘总线可能会是vda或者sda等,根据自己情况进行修改.由于grub的程序在第一个磁盘的前446字节,我们破坏这部分的数据,造成grub无法正常引导。根据之前画的图,我们知道分区信息在前510个字节.破坏这部分分区信息就会丢失。这里一样,根据自己的实际情况修改成/dev/sda 或者/dev/vda。我们选择第二个kernel进入系统,发现这个kernel可以正常使用.在故障服务器的救援模式下配置ip地址,保证可以访问到备份文件的服务器。

红框中就是密码,所以密码是root123。

重启完毕后确认分区是否挂载,文件是否可以正常访问。问题可能就发生在这次缩盘的时候。配置开机自动挂载后重启服务器。确认下问题可能出现在哪里。

可以看到除了ls以外没有其他命令再访问或者修改这个目录了.且目录的权限不再变化。根据日志的内容,我们看到是一个python脚本进行的修改.很明显有一个service调用这个脚本,那么停止并禁用它。那么我们先找到这个文件,然后再看是什么东西运行的。再次确认下是否还有正在运行的,如果有就kill掉。那么禁用这个crontab就可以了.再确认是哪个crontab调用的.再确认是否有crontab调用它。

以下仅是自己考前练习,和考试无任何关系.

花了2年时间,终于把RHCA搞的差不多了.RH342是第10门。

使用 tuned 的插件机制,好处就是隐蔽.一般不是资深的运维很难发现,当然时间长了自己也容易忘记.(详细学习的话见rh442的内容)这个比较简单,就是将脚本添加到rc.local的末尾,但值得注意的是必须给rc.local加上执行权限.由于是非标准的apache或者nginx之类的服务,需要开机执行一个脚本来启动业务.这个方法依赖相对隐蔽,但一旦被附着的服务被disabled了,那么你的这个也失效了.一台较老的服务器上面业务比较简单,提供一个简单的网站,但已经没有业务的运维人员.重启 tuned 服务。

Ansible Collections 是一种打包和分发自动化内容（如模块、插件、角色等）的方式。它们允许开发者将相关的组件组织在一起，便于管理和分发。Ansible Roles 是一种组织 Playbooks、任务、变量、文件和模板的方式，使得自动化内容更具可重用性和可维护性。角色通常用于定义特定功能或应用的配置和部署。

最近准备搞一下RHCA LV V,外加2.9之后的ansible有较大变化于是练习下Do374的课程内容.工作中也管理者几台sftp的服务器,由于sftp的目录权限比较特殊,有时候手工配置会出现一些报错需要排查.于是手写了个ansibleplay来完成一键搭建及后续的用户添加工作.

(如果是唯一的kernel那么也可以使用救援盘进入,但这个是一台云主机,可能会需要通过另外个云主机挂载这个启动镜像,再复制文件.然后根据快照再恢复会比较麻烦,但不复杂)非恶意,根据他的上下文分析,是由于安装配置kdump出现了某些错误,尝试解决那些错误的时候可能搜了某些错误的文档而去删除那2个文件.幸运的是,这个服务器有多个kernel.那么就尝试从其他kernel进入.运行history查看是否是人为的删除,及分析为什么要做这个操作.可以明显的看到是人为删除了2个img文件.非病毒或入侵造成的.

buffers和cached都是用于提高文件系统性能的内存缓存。buffers主要缓存文件系统的元数据，而cached主要缓存文件内容。两者共同作用，减少了磁盘 I/O 操作，提高了系统的整体性能。

发送USR1 信号给nginx的主进程,让nginx重新打开新的日志文件,如果文件不存在会自动创建,并续写已经存在的文件。通过截图可以看到,日志已经开始续写,并且nginx的进程id没有发生变化,即服务没有重启,对使用中的业务也没有影响.logrotate 具体配置方法在其他的文档里有详细记录,这里我们就不在复述了.我们先模拟产生一个3.2GB的Nginx access.log。至此Nginx日志占用的空间已被释放,相关服务也没有被影响.此时我们发现文件虽然被删除了,但空间并未被释放。

进程最大数是指操作系统允许同时运行的进程数量上限。这个限制通常由内核参数。通过合理调整这些参数，可以优化系统的性能和资源利用率，满足不同应用的需求。最大线程数是指单个进程可以创建的最大线程数量。控制，因为每个线程都被视为一个进程。这个调整只在当前shell会话有效。这个调整只在当前shell会话有效。是你想要设置的新限制。是你想要设置的新限制。表示对所有用户生效，表示对所有用户生效，

特性进程线程协程资源隔离完全隔离部分共享完全共享调度方式操作系统内核操作系统内核用户态或编程语言开销较大较小极小适用场景需要隔离的任务需要并发的任务I/O密集型任务僵尸进程（Zombie Process）是已经完成执行并退出，但其进程表条目并未被删除的进程。这些进程虽然不再执行任何操作，但仍占用进程表中的一个位置。

LVS是一个开源的负载均衡软件，由前阿里云首席科学家章文嵩博士创建。它可以将多个真实的服务器组成一个虚拟服务器，并通过负载均衡技术将客户端的请求分发到各个真实服务器上。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。它以其稳定性、丰富的功能集和高性能而闻名。HAProxy是一款开源的高性能TCP/HTTP负载均衡器。它特别适合处理大量并发连接和基于内容的路由。特性LVSNginxHAProxy架构模式IP层负载均衡反向代理+负载均衡应用层负载均衡。

暂时没找到特别好的方法永久去掉这2个,只能通过shell的方式删,每次删又很麻烦所以做成服务,每次在网络启动完毕后删除。这里有个提示,明显我们现在是做测试也知道这个是一个现行版,不会把它作为生产环境使用,那就继续安装吧。重启服务器,重启完后发现网卡已经改成eth0了,但是有enp3s0和ens160看着比较难受.内核版本默认使用了6.11,Openssh也使用了9.8已经是目前比较新的.配置服务/etc/systemd/system/eth0.service。一样,测试我们就打开了root的ssh登录。

命令可以用于读取和写入网络连接中的数据，支持TCP和UDP协议，因此广泛用于测试网络连接、调试网络服务和进行端口扫描等操作。命令的功能非常强大，它支持网络连接、数据传输、端口监听、代理等多种功能。的功能非常强大，但它的简洁性和灵活性也是它受到用户喜爱的原因之一。指定端口后,在服务端看到客户端连接过来的端口就是我们所指定的4479。启动指定端口的TCP监听，等待来自远程主机的连接。启动指定端口的UDP监听，等待来自远程主机的连接。扫描指定主机上的开放的端口，常用于端口扫描。设置连接的超时值，单位为秒。

HTTP/2协议是一种新的HTTP协议，支持多路复用、头部压缩等功能，可以提高传输效率。然而在高并发、大流量的情况下，Nginx的性能可能会受到一定的影响。日志是排查问题的重要手段，但是过多的日志会导致磁盘空间不足，影响系统性能。需要注意的是，线程数并不是越大越好，因为线程之间的竞争可能会导致性能下降。需要注意的是，对于不同类型的文件，可以设置不同的缓存时间。对于代理缓存，您可以考虑增加一些更灵活的缓存策略，如缓存条件或不同状态码的缓存策略.的设置推荐为 CPU 核心数，或者是根据机器的负载情况适当调整。

正向代理是为客户端（用户）服务的代理，它帮助客户端向目标服务器发送请求并获取资源。客户端需要知道代理服务器的地址，并通过它访问目标服务器。反向代理是为服务器端服务的代理，它接收客户端的请求，然后将请求转发给后端的目标服务器，并将服务器的响应返回给客户端。客户端只需知道代理服务器的地址，不需要知道后端服务器的具体信息。

由于ssh协议是使用加密方式通讯,新的openssh使用的加密格式老版本不支持.那么简单的方法就是通讯时使用低版本支持的加密方式进行通信.目标服务器是Redhat 5.8,Openssh 4.3。源服务器是Rocky8.10,Openssh 9.5。编辑~/.ssh/config。再次连接就跳出了密码进行验证。输入密码后就完成了登录验证。

常见的NFS CSI除了本文中的csi-nfs之外还有nfs-subdir-external-provisioner。证明我们的yaml是没有问题的,那么问题可能出在NFS服务端。回到nfs服务器也可以看到/nfs下对应的pvc目录被创建。在node节点上可以获取到nfs并挂载读取到nfs的内容。可我们明明(rw)了为啥没权限写入,可能问题就在这里了.在容器中创建一个文件,并在nfs服务器上可以正常读取到。可以看到目录被正常挂载到了pod的/var/www。至此K8s集群可以正常挂载集群外的NFS了。

原因是默认安装里包含了podman,buildah,containers-common等和docker-ce有冲突。解决方法也非常简单,在yum命令中加入–allowerasing参数。安装后启动docker。

SELinux的安全策略通常存储在。

中编辑zabbix_agent2.conf,追加HostMetadataItem=system.uname。修改/etc/zabbix/zabbix_agent2.conf 主要就是这4行。安装后在C:\Program Files\Zabbix Agent 2。再切到主机查看,此时zabbix-server也已经被添加上来了.至此,Zabbix服务器搭建和Win Linux客户端追加完成.稍过片刻后2个非zabbix-server的客户端被自动发现。再添加一个不包含Zabbix的选项。

把老系统由原来的Centos5,6,7升级到了Rocyk8.10,同时升级了ssh到9.5SP1。当Centos6及以下版本视图拷贝文件到Rocky8.10上时,出现以下错误.编辑目的服务器/etc/ssh/sshd_config。再次尝试,输入密码后正常登陆。